阳子
阳子
Published on 2024-05-31 / 213 Visits
0
0

部署evilgophish

基础架构

2E764D24-7352-402C-ACE2-1B863F4B6FAF.webp

编译启动环境

1、运行安装脚本:在终端中导航到evilgophish存储库的目录,并运行以下命令以安装依赖项并配置evilgophish:

./setup.sh example.com "accounts myaccount" false true user_id

请根据你的实际情况替换示例中的参数。

./setup.sh yangzihome.space "pish" false true 22db54d1-8c32-4131-8005-080173971679

启动GoPhish

  • 启动GoPhish:导航到GoPhish目录,并运行以下命令:

cd gophish
./gophish

配置Phishlets页面

  1. 准备工作

    • 确保你已经安装了 Go,并且具有管理员权限运行 Evilginx3 和 Gophish。

    • 确保你已经配置了 Cloudflare Turnstile,并获得了公钥和私钥。

    • 准备你要伪造的目标网站的登录页面或其他页面的 HTML 源代码。

  2. 创建 Phishlet

    • 在 Evilginx3 的 phishlets 目录中创建一个新的目录,用于存储你的伪造页面相关文件。

    • 在新创建的目录中,创建一个 HTML 文件,命名为 index.html,并将你准备好的页面 HTML 源代码粘贴到这个文件中。

    • 如果需要,将页面中的所有相对路径(如 CSS、JavaScript 文件等)都改为绝对路径,确保它们在浏览器中正确加载。

  3. 配置 Phishlet

    • 在新创建的目录中,创建一个名为 phishlet.yml 的配置文件,用于配置伪造页面的相关信息。

    • 在配置文件中,至少包括以下信息:

      name: "Your Phishlet Name"
      path: "path/to/your/index.html"

      其中

      "Your Phishlet Name"

      是你的 Phishlet 的名称,

      "path/to/your/index.html"

      是你的 HTML 页面文件的路径。

启动evilginx v3.2创建伪造页面

注意:启动前请将需要伪造的域名进行泛域名解析,如果未解析,将无法获取TLS证书。

配置DNS泛解析的步骤:

  1. 登录到你的DNS服务提供商的控制台

  2. 找到你的域名管理页面,并进入DNS设置。

  3. 添加一条新的A记录

    • 主机名(Host/Name):填写 * 以表示所有子域名。

    • 值(Value/Points to):填写你的服务器的IP地址。

例如,在Cloudflare的DNS设置中,这可能看起来像这样:

  • Type:A

  • Name:*

  • IPv4 address:123.123.123.123

启动evilginx3 v3.2版本

./evilginx3 -feed -g /path/to/gophish.db -turnstile <PUBLIC_KEY>:<PRIVATE_KEY> -p /path/to/phishlets
cd evilginx3
./evilginx3 -g /home/evilgophish/gophish/gophish.db -p /home/evilgophish/Phishlets/

确保将/home/evilgophish/gophish/gophish.db替换为GoPhish的数据库的完整路径;将/home/evilgophish/Phishlets/ 替换为evilginx的Phishlets配置文件路径。

注意:为确保数据库读取正常,请确保gophish.db文件的读写权限。

7C0932CA-860C-4EE0-934D-33B068F340EC.png

启动evilginx v3.3创建伪造页面

下载evilginx 3..3版本程序并将Phishlets页面添加到目录中

D3CD1C4E-D836-4E70-B487-7D9DD440116A.png

运行evilginx

./evilginx

06229387-B06F-44A4-A1F2-38840678BBA8.png

配置config通过API方式连接gophish

1CCBA424-9B46-45D3-8745-C0004431A18A.png

创建Phishlet模板

输入命令检查已配置好的Phishlet模板

D678AB61-BA68-4ABB-B931-F5B786BDCE43.png

创建一个模板的子Phishlet,输入命令 phishlets 查看子Phishlet,如:amazon:aws

 phishlets create <模板名称> <子名称>

启动Phishlet

phishlets enable 模板名称:子名称
phishlets enable amazon:aws

phishlets命令

phishlets

创建 Lure

查看已创建的Lure

B7B38672-EC67-48DF-98A4-6F736909FBE1.png

创建Lure

执行命令创建lure,创建的lure会分配一个ID

lures create <Phishlet> 

AAA1E5C1-77E9-4D20-B40D-1B46A822CDF0.png

创建URL

lures get-url <ID>

lure命令

lure

启动evilfeed(如果需要)

如果你选择了启用live feed,则需要启动evilfeed。导航到evilfeed目录,并运行以下命令:

cd evilfeed
./evilfeed

4、启动Cloudflare Turnstile(如果需要):如果你选择了使用Cloudflare Turnstile,则需要启动它。按照Cloudflare Turnstile设置部分的说明操作。

5、开始活动:一切准备就绪后,你可以从GoPhish启动你的社会工程活动,并监视活动进展。

使用 Evilginx3 创建伪造页面

  1. 运行 Evilginx3

    • 使用以下命令启动 Evilginx3,并指定 Gophish 的数据库路径和 Cloudflare Turnstile 的公钥和私钥:

      ./evilginx3 -feed -g /path/to/gophish.db -turnstile <PUBLIC_KEY>:<PRIVATE_KEY> -p /path/to/phishlets

      其中

      /path/to/gophish.db

      是你的 Gophish 数据库文件的路径,

      <PUBLIC_KEY>

      <PRIVATE_KEY>

      是你的 Cloudflare Turnstile 的公钥和私钥,

      /path/to/phishlets

      是你存储 Phishlet 的目录路径。

创建Cloudflare Turnstile

Cloudflare Turnstile的集成已经用“Apache2”取代了重定向规则和IP黑名单。“Apache2”方法依赖于预定义的重定向规则列表和IP黑名单。我们可能会错过某些最终检测到我们基础设施的用户代理、主机或IP地址。这通常是通过机器人和扫描网络钓鱼基础设施的自动化软件来完成的Cloudflare Turnstile的技术是在编写和验证实际用户访问您的网站时抵御机器人的最佳防御措施之一。

  1. 创建Cloudflare帐户

  2. 选择仪表板中的Turnstile选项卡

  3. 添加新网站并将域用于网络钓鱼网站/活动

  4. 用您自己的更改编辑eviginx3/templates/bidden.html&eviginX3/templates/turnstyle.html文件

  5. 当启动evilginx3, 包括带有Turnstile标志的公钥/私钥 :.。如:

./evilginx3 -feed -g ../gophish/gophish.db -turnstile <PUBLIC_KEY>:<PRIVATE_KEY>

Cloudflare Turnstile HTML模板指南

如果我要为 Cloudflare Turnstile 功能包含一个静态HTML页面,那么每个人的钓鱼基础设施都将拥有相同的页面,并且会导致静态HTML代码检测。这就是Go HTML模板的用处。我在 evilginx3/templates/turnstile.html 中包含了一个起始模板作为指南 您需要更改此内容。以下是模板代码设置的规则,如果不遵循这些规则,可能会导致破坏 Cloudflare Turnstile 功能:

  1. 您必须包含 {{.FormActionURL}}{{.ErrorMessage}}{{.TurnstilePublicKey}} 模板变量

  2. 用于提交 Turnstile 挑战的表单操作URL必须是 {{.FormActionURL}} 模板变量

  3. 用于 cf-turnstile div 类的 data-sitekey 值必须是 {{.TurnstilePublicKey}} 模板变量

  4. 您必须将模板保存在 evilginx3/templates/turnstile.html

  5. 用于提交挑战表单的按钮必须将其名称属性设置为 button

replace_rid.sh

如果您曾经运行过 setup.sh 并且已经替换了整个项目中的默认 RId 值,那么 replace_rid.sh 就是为了再次替换 RId 值而创建的。

arduino复制代码用法:
./replace_rid <previous rid> <new rid>
 - previous rid      - 要替换的先前 rid 值
 - new rid           - 要用来替换先前值的新 rid 值
示例:
  ./replace_rid.sh user_id 22db54d1-8c32-4131-8005-080173971679

二维码生成器

QR码生成器 功能允许您生成QR码,以部署QR码社会工程活动。以下是使用它的步骤:

  1. 在编辑电子邮件HTML模板时,现在可以包含 {{.QR}} 模板变量:

59B623E9-7C1E-40DF-B97D-259F8F84E5FC.png

  1. 在启动新的活动时,请输入QR码图片的大小:

1649021F-48BB-436C-B12D-E137025475FB.png

  1. 结果将类似于以下内容,但您可以根据需要调整尺寸:

CECB21B5-4477-4089-AB3A-CFB63777542E.png

请注意,此功能目前仅支持电子邮件活动和HTML电子邮件模板

短信钓鱼活动

An entire reworking of GoPhish was performed in order to provide SMS campaign support with Twilio. Your new evilgophish dashboard will look like below:

FED0AF3A-788B-4458-9EB6-083E6B9C3C83.png

Once you have run setup.sh, the next steps are:

  1. Configure SMS message template. You will use Text only when creating a SMS message template, and you should not include a tracking link as it will appear in the SMS message. Leave Envelope Sender and Subject blank like below:

11F3F102-70AA-495F-B6AF-4520C9B56E08.png

  1. Configure SMS Sending Profile. Enter your phone number from Twilio, Account SID, and Auth Token:

76EE1A4F-0FE5-4B91-83CE-4A2F600AF0BF.png

  1. Import groups. The CSV template values have been kept the same for compatibility, so keep the CSV column names the same and place your target phone numbers into the Email column. Note that Twilio accepts the following phone number formats, so they must be in one of these three:

F321ACE3-83AF-4AEA-9311-58EFC6A60A66.png

  1. Start evilginx3 and configure phishlet and lure (must specify full path to GoPhish sqlite3 database with -g flag)

  2. Launch campaign from GoPhish and make the landing URL your lure path for evilginx3 phishlet

  3. PROFIT

Blog post here.

Live Feed Setup

Realtime campaign event notifications are handled by a local websocket/http server and live feed app. To get setup:

  1. Select true for feed bool when running setup.sh

  2. cd into the evilfeed directory and start the app with ./evilfeed

  3. When starting evilginx3, supply the -feed flag to enable the feed. For example:

./evilginx3 -feed -g /opt/evilgophish/gophish/gophish.db

  1. You can begin viewing the live feed at: http://localhost:1337/. The feed dashboard will look like below:

791BBF89-A62A-4E77-A69B-5C15D77144C3.png

IMPORTANT NOTES

  • The live feed page hooks a websocket for events with JavaScript and you DO NOT need to refresh the page. If you refresh the page, you will LOSE all events up to that point.


Comment